Главная страница » IOC
0
28 дней
IOC

UAC-0063 APT IOCs

security

27 ноября 2024 года компания Sekoia провела исследование, которое обнаружило продолжающуюся кампанию кибершпионажа, использующую законные документы, предположительно принадлежащие Министерству иностранных дел Казахстана, для сбора разведданных о стратегических отношениях Казахстана с азиатскими и западными странами. По предположениям Sekoia, эта кампания могла быть проведена группой вторжений UAC-0063 имеющей общие черты c APT28.

UAC-0063 APT

История UAC-0063 началась как минимум с 2021 года. В апреле 2023 года украинский центр по реагированию на инциденты в сфере кибербезопасности CERT-UA первым обнаружил кампанию кибершпионажа, проводимую UAC-0063, которая затронула несколько стран, включая Украину, Израиль, Индию и страны Центральной Азии. В июле 2024 года CERT-UA опубликовал еще один отчет, связывающий деятельность UAC-0063 с APT28 и раскрывающий новое вредоносное ПО, используемое этой группой для атак на украинские научно-исследовательские учреждения.

Fancy Bear (APT28) APT IOCs - Part 9

Sekoia приступила к дальнейшему исследованию и обнаружила, что 16 октября 2024 года ее правило YARA для обнаружения вредоносных макросов поймало вредоносный файл, загруженный на VirusTotal. Этот документ Word, содержащий вредоносные макросы, вероятно, принадлежал Министерству иностранных дел Казахстана и датировался периодом с 2021 по октябрь 2024 года. В результате расследования Sekoia были обнаружены 18 файлов DOCX со встроенными макросами, включая дипломатические письма, проекты документов и административные отчеты, касающиеся дипломатического сотрудничества и экономических вопросов.

Indicators of Compromise

IPv4

  • 2.58.15.158
  • 213.159.79.56
  • 38.180.206.61
  • 38.180.207.137

Domains

  • background-services.net
  • download-resourses.info
  • lookup.ink

SHA256

  • 06e4084e2d043f216c0bc7931781ce3e1cea4eca1b6092c0e34b01a89e2a6dea
  • 3b87dc25a11b6268019d5eae49a6b93271dfdc262f2607cfefa35d196f724997
  • 47092548660d5200ea368aacbfe03435c88b6674b0975bb87a124736052bd7c3
  • 6edf3d03bd38c800d5d1e297d59c2496968202358f4be47e1f07e57a52485e0c
  • c61e9326421d05d62cafd6c04041ab1a8f57c0a21d424b9ca04b6a1fc275af19
  • e3a0be8852d77771dc3f44f3e9a051e7fe56547b569aad5a178ae44ef31713b9
  • e440bad60823642e8976528bd450364ce2542d15a69778ff20996eb107158b8d
  • efc99e6f3cdd10313c52a8ad099424e3f39ab85b75375b8db82717d61c7f0118
  • fd78051817b5e2375c92d14588f9a4ba1adc92cc1564e55e6150ae350ed6c889
Комментарии: 0
Похожие записи
0
5 часов
IOC

APT37 - RokRat

security
APT37, также известная как ScarCruft, Reaper и Red Eyes - северокорейская хакерская группировка, спонсируемая государством и действующая с 2012 года. Изначально ее деятельность была сосредоточена на правительственном
0
5 часов
IOC

Squid Werewolf APT IOCs

security
В ходе недавней кибератаки злоумышленники использовали фишинговую электронную почту, чтобы атаковать ключевых сотрудников одной из промышленных организаций. Обнаруженная в декабре 2024 года экспертами BI.
0
1 день
IOC

Blind Eagle APT IOCs

security
Группа APT-C-36, известная также как Blind Eagle, продолжает активно атаковать колумбийские учреждения и правительственные структуры, используя уязвимость CVE-2024-43451, которая была исправлена Microsoft 12 ноября 2024 года.
0
1 день
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает